In mehreren Firmware-Versionen für Arubas WLAN-Lösung Instant (IAP) befinden sich insgesamt fünf Schwachstellen, deren Bedrohungsgrad der Hersteller als „Medium“ bis hin zu „Critical“ einstuft. In einem Sicherheitshinweis weist Aruba auf aktualisierte Versionen hin, die sämtliche Schwachstellen beseitigen sollen. Anwender sollten zügig reagieren.
Die schwerwiegendste Lücke (CVE-2018-7084) ermöglicht einem unauthentifizierten Angreifer mit Zugriff auf das Webinterface, mittels Command Injection beliebige Befehle auf dem verwundbaren Access Point auszuführen. Als mögliche Aktionen nennt Aruba das Kopieren von Dateien, das Auslesen von Konfigurationsdateien, Schreib- und Löschvorgänge sowie den Reboot des Geräts. Auch die übrigen Lücken betreffen das IAP Webinterface und könnten unter anderem missbraucht werden, um Informationen auszulesen oder Schadcode zu installieren.
Betroffen sind die Aruba-Instant-Versionen ab 4.x bis vor 6.4.4.8-4.2.4.12, 6.5.x bis vor 6.5.4.11, 8.3.x bis vor 8.3.0.6 sowie 8.4.x prior bis 8.4.0.1 exklusive.
Die abgesicherten Versionen Aruba Instant 4.2.4.12, 6.5.4.11, 8.3.0.6 und 8.4.0.0 können Nutzer über das IAP Webinterface oder aus Arubas Support-Center herunterladen.
Quelle:Heise.de